Verwalten der Quellen für Updates für Microsoft Defender Antivirus-Schutz

  • Artikel

Gilt für:

Plattformen

  • Windows

Es ist wichtig, ihren Antivirenschutz auf dem neuesten Stand zu halten. Es gibt zwei Komponenten zum Verwalten von Schutzupdates für Microsoft Defender Antivirus:

  • Wo die Updates heruntergeladen werden; Und
  • Wenn Updates heruntergeladen und angewendet werden.

In diesem Artikel wird beschrieben, wie Sie angeben, von wo Updates heruntergeladen werden sollen (diese Spezifikation wird auch als Fallbackreihenfolge bezeichnet). Im Artikel Verwalten Microsoft Defender Antivirusupdates und Anwenden von Baselines finden Sie eine Übersicht darüber, wie Updates funktionieren und wie Andere Aspekte von Updates (z. B. planen von Updates) konfiguriert werden.

Wichtig

Microsoft Defender Antivirus Security Intelligence-Updates und Plattformupdates über Windows Update bereitgestellt werden und ab Montag, den 21. Oktober 2019, werden alle Security Intelligence-Updates ausschließlich mit SHA-2 signiert. Ihre Geräte müssen aktualisiert werden, um SHA-2 zu unterstützen, um Ihre Sicherheitsintelligenz zu aktualisieren. Weitere Informationen finden Sie unter 2019 SHA-2 Codesignierungsunterstützung – Anforderung für Windows and WSUS.

Fallbackreihenfolge

In der Regel konfigurieren Sie Endpunkte so, dass Updates einzeln aus einer primären Quelle heruntergeladen werden, gefolgt von anderen Quellen in der Reihenfolge der Priorität, basierend auf Ihrer Netzwerkkonfiguration. Updates werden aus Quellen in der von Ihnen angegebenen Reihenfolge abgerufen. Wenn Updates aus der aktuellen Quelle veraltet sind, wird sofort die nächste Quelle in der Liste verwendet.

Wenn Updates veröffentlicht werden, wird eine gewisse Logik angewendet, um die Größe des Updates zu minimieren. In den meisten Fällen werden nur die Unterschiede zwischen dem neuesten Update und dem aktuell installierten Update (der Satz der Unterschiede wird als Delta bezeichnet) auf dem Gerät heruntergeladen und angewendet. Die Größe des Deltas hängt jedoch von zwei Standard Faktoren ab:

  • Das Alter der letzten Aktualisierung auf dem Gerät; Und
  • Die Quelle, die zum Herunterladen und Anwenden von Updates verwendet wird.

Je älter die Updates an einem Endpunkt sind, desto größer ist der Download. Sie müssen jedoch auch die Downloadhäufigkeit berücksichtigen. Ein häufigerer Updatezeitplan kann zu einer höheren Netzwerkauslastung führen, während ein weniger häufiger Zeitplan zu größeren Dateigrößen pro Download führen kann.

Es gibt fünf Speicherorte, an denen Sie angeben können, wo ein Endpunkt Updates abrufen soll:

Hinweis

  1. Intune Internen Definitionsupdateserver. Wenn Sie SCCM/SUP zum Abrufen von Definitionsupdates für Microsoft Defender Antivirus verwenden und auf blockierten Clientgeräten auf Windows Update zugreifen müssen, können Sie zur Co-Verwaltung wechseln und die Endpoint Protection-Workload an Intune auslagern. In der in Intune konfigurierten Richtlinie für Antischadsoftware gibt es eine Option "Interner Definitionsupdateserver", die Sie so festlegen können, dass lokales WSUS als Updatequelle verwendet wird. Mit dieser Konfiguration können Sie steuern, welche Updates vom offiziellen WU-Server für das Unternehmen genehmigt werden. Außerdem können Sie Netzwerkdatenverkehr zum offiziellen Windows Updates-Netzwerk proxyn und speichern.

  2. Für Ihre Richtlinie und Registrierung wird dies möglicherweise als Microsoft Center zum Schutz vor Malware (MMPC)-Sicherheitsintelligenz (MMPC) aufgeführt, der frühere Name.

Um den besten Schutz zu gewährleisten, ermöglicht Microsoft Update schnelle Releases, was bedeutet, dass kleinere Downloads häufig durchgeführt werden. Die Quellen windows Server Update Service, Microsoft Endpoint Configuration Manager, Microsoft Security Intelligence-Updates und Plattformupdates liefern weniger häufige Updates. Daher kann das Delta größer sein, was zu größeren Downloads führt.

Plattformupdates und Engine-Updates werden monatlich veröffentlicht. Security Intelligence-Updates werden mehrmals täglich bereitgestellt, aber dieses Deltapaket enthält kein Engine-Update. Weitere Informationen finden Sie unter Microsoft Defender Antivirus Security Intelligence und Produktupdates.

Wichtig

Wenn Sie Updates der Microsoft Security Intelligence-Seite als Fallbackquelle nach Windows Server Update Service oder Microsoft Update festgelegt haben, werden Updates nur von Security Intelligence- und Plattformupdates heruntergeladen, wenn das aktuelle Update als veraltet gilt. (Standardmäßig sind dies sieben aufeinander folgende Tage, an dem keine Updates aus dem Windows Server Update-Dienst oder microsoft Update-Diensten angewendet werden können.) Sie können jedoch festlegen, wie viele Tage der Schutz als veraltet gemeldet wird.

Ab Montag, dem 21. Oktober 2019, sind Security Intelligence-Updates und Plattformupdates ausschließlich SHA-2 signiert. Geräte müssen aktualisiert werden, um SHA-2 zu unterstützen, um die neuesten Security Intelligence-Updates und Plattformupdates zu erhalten. Weitere Informationen finden Sie unter 2019 SHA-2 Codesignierungsunterstützung – Anforderung für Windows and WSUS.

Jede Quelle verfügt über typische Szenarien, die davon abhängen, wie Ihr Netzwerk konfiguriert ist, zusätzlich dazu, wie oft Updates veröffentlicht werden, wie in der folgenden Tabelle beschrieben:

Standort Beispielszenario
Windows Server Update Service Sie verwenden den Windows Server Update-Dienst, um Updates für Ihr Netzwerk zu verwalten.
Microsoft Update Sie möchten, dass Ihre Endpunkte eine direkte Verbindung mit Microsoft Update herstellen. Diese Option ist nützlich für Endpunkte, die unregelmäßig eine Verbindung mit Ihrem Unternehmensnetzwerk herstellen, oder wenn Sie Windows Server Update Service nicht verwenden, um Ihre Updates zu verwalten.
Dateifreigabe Sie verfügen über Geräte, die nicht mit dem Internet verbunden sind (z. B. VMs). Sie können ihren mit dem Internet verbundenen VM-Host verwenden, um die Updates auf eine Netzwerkfreigabe herunterzuladen, von der die VMs die Updates abrufen können. Informationen zur Verwendung von Dateifreigaben in VDI-Umgebungen (Virtual Desktop Infrastructure) finden Sie im VDI-Bereitstellungshandbuch .
Microsoft Configuration Manager Sie verwenden Microsoft Configuration Manager, um Ihre Endpunkte zu aktualisieren.
Security Intelligence-Updates und Plattformupdates für Microsoft Defender Antivirus und andere Antischadsoftware von Microsoft (ehemals MMPC) Stellen Sie sicher, dass Ihre Geräte aktualisiert werden, um SHA-2 zu unterstützen. Microsoft Defender Antivirus Security Intelligence und Plattformupdates werden über Windows Update bereitgestellt, und ab Montag, dem 21. Oktober 2019, sind Security Intelligence-Updates und Plattformupdates ausschließlich mit SHA-2 signiert.
Laden Sie die neuesten Schutzupdates aufgrund einer kürzlich aufgetretenen Infektion herunter, oder um ein starkes Basisimage für die VDI-Bereitstellung bereitzustellen. Diese Option sollte im Allgemeinen nur als endgültige Fallbackquelle und nicht als primäre Quelle verwendet werden. Sie wird nur verwendet, wenn Updates für eine bestimmte Anzahl von Tagen nicht von Windows Server Update Service oder Microsoft Update heruntergeladen werden können.

Sie können die Reihenfolge verwalten, in der Updatequellen mit Gruppenrichtlinie, Microsoft Endpoint Configuration Manager, PowerShell-Cmdlets und WMI verwendet werden.

Wichtig

Wenn Sie Windows Server Update Service als Downloadspeicherort festlegen, müssen Sie die Updates genehmigen, unabhängig vom Verwaltungstool, das Sie zum Angeben des Speicherorts verwenden. Sie können eine automatische Genehmigungsregel mit dem Windows Server Update-Dienst einrichten. Dies kann hilfreich sein, wenn Updates mindestens einmal täglich eintreffen. Weitere Informationen finden Sie unter Synchronisieren von Endpoint Protection-Updates im eigenständigen Windows Server Update-Dienst.

In den Verfahren in diesem Artikel wird zunächst beschrieben, wie Sie die Reihenfolge festlegen und dann die Option Dateifreigabe einrichten, wenn Sie sie aktiviert haben.

Verwenden von Gruppenrichtlinie zum Verwalten des Updatespeicherorts

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration.

  3. Wählen Sie Richtlinien und dann Administrative Vorlagen aus.

  4. Erweitern Sie die Struktur zu Windows-Komponenten>Windows Defender>Signaturupdates, und konfigurieren Sie dann die folgenden Einstellungen:

    1. Bearbeiten Sie die Einstellung Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates . Legen Sie die Option auf Aktiviert fest.

    2. Geben Sie die Reihenfolge der Quellen an, die durch eine einzelne Pipe getrennt sind, z. B.: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, wie im folgenden Screenshot gezeigt.

      Gruppenrichtlinieneinstellung, die die Reihenfolge der Quellen auflistet

    3. Wählen Sie OK aus. Diese Aktion legt die Reihenfolge der Schutzupdatequellen fest.

    4. Bearbeiten Sie die Einstellung Dateifreigaben für das Herunterladen von Security Intelligence-Updates definieren , und legen Sie dann die Option auf Aktiviert fest.

    5. Geben Sie die Dateifreigabequelle an. Wenn Sie über mehrere Quellen verfügen, geben Sie jede Quelle in der Reihenfolge an, in der sie verwendet werden sollen, getrennt durch eine einzelne Pipe. Verwenden Sie die UNC-Standardnotation zum Angeben des Pfads, z. B.: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Wenn Sie keine Pfade eingeben, wird diese Quelle übersprungen, wenn die VM Updates herunterlädt.

    6. Wählen Sie OK aus. Diese Aktion legt die Reihenfolge der Dateifreigaben fest, wenn in der Gruppenrichtlinieneinstellung Definieren der Reihenfolge von Quellen... auf diese Quelle verwiesen wird.

Hinweis

Für Windows 10 Versionen 1703 bis einschließlich 1809 lautet der Richtlinienpfad Windows-Komponenten > Microsoft Defender Antivirussignatur > Updates Für Windows 10 Version 1903 lautet der Richtlinienpfad Windows-Komponenten > Microsoft Defender Antivirus>. Security Intelligence-Updates

Verwenden von Configuration Manager zum Verwalten des Updatespeicherorts

Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Konfigurieren von Security Intelligence-Updates für Endpoint Protection.

Verwenden von PowerShell-Cmdlets zum Verwalten des Updatespeicherorts

Verwenden Sie die folgenden PowerShell-Cmdlets, um die Updatereihenfolge festzulegen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Weitere Informationen finden Sie in den folgenden Artikeln:

Verwenden der Windows-Verwaltungsanweisung (WMI) zum Verwalten des Updatespeicherorts

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Weitere Informationen finden Sie in den folgenden Artikeln:

Verwenden von Mobile Geräteverwaltung (MDM) zum Verwalten des Updatespeicherorts

Ausführliche Informationen zum Konfigurieren von MDM finden Sie unter Richtlinien-CSP – Defender/SignatureUpdateFallbackOrder .

Was geschieht, wenn wir einen Drittanbieter verwenden?

In diesem Artikel wird beschrieben, wie Sie Updates für Microsoft Defender Antivirus konfigurieren und verwalten. Sie können jedoch Drittanbieter mit diesen Aufgaben beauftragen.

Angenommen, Contoso hat Fabrikam mit der Verwaltung der Sicherheitslösung beauftragt, die Microsoft Defender Antivirus umfasst. Fabrikam verwendet in der Regel die Windows-Verwaltungsinstrumentation, PowerShell-Cmdlets oder die Windows-Befehlszeile , um Patches und Updates bereitzustellen.

Hinweis

Microsoft testt keine Drittanbieterlösungen für die Verwaltung Microsoft Defender Antivirus.

Erstellen einer UNC-Freigabe für Security Intelligence und Plattformupdates

Richten Sie eine Netzwerkdateifreigabe (UNC/zugeordnetes Laufwerk) ein, um Sicherheitsinformationen und Plattformupdates vom MMPC-Standort mithilfe einer geplanten Aufgabe herunterzuladen.

  1. Erstellen Sie auf dem System, für das Sie die Freigabe bereitstellen und die Updates herunterladen möchten, einen Ordner für das Skript.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Erstellen Sie einen Ordner für Signaturupdates.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Laden Sie das PowerShell-Skript von www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4 herunter.

  4. Wählen Sie Manueller Download aus.

  5. Wählen Sie Download the raw nupkg file (Unformatierte nupkg-Datei herunterladen) aus.

  6. Extrahieren Sie die Datei.

  7. Kopieren Sie die Datei SignatureDownloadCustomTask.ps1 in den Ordner, den Sie zuvor erstellt haben. C:\Tool\PS-Scripts\

  8. Verwenden Sie die Befehlszeile, um die geplante Aufgabe einzurichten.

    Hinweis

    Es gibt zwei Arten von Updates: full und delta.

    • Für x64-Delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Für x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Für x86-Delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Für x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Hinweis

    Wenn die geplanten Vorgänge erstellt werden, finden Sie diese im Aufgabenplaner unter Microsoft\Windows\Windows Defender.

  9. Führen Sie jede Aufgabe manuell aus, und vergewissern Sie sich, dass Daten (mpam-d.exe, mpam-fe.exeund nis_full.exe) in den folgenden Ordnern vorhanden sind (Möglicherweise haben Sie unterschiedliche Speicherorte ausgewählt):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Wenn bei der geplanten Aufgabe ein Fehler auftritt, führen Sie die folgenden Befehle aus:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Erstellen Sie eine Freigabe, \\server\updatesdie auf C:\Temp\TempSigs verweist (z. B. ).

    Hinweis

    Mindestens müssen authentifizierte Benutzer über Lesezugriff verfügen. Diese Anforderung gilt auch für Domänencomputer, die Freigabe und NTFS (Sicherheit).

  11. Legen Sie den Freigabespeicherort in der Richtlinie auf die Freigabe fest.

    Hinweis

    Fügen Sie den Ordner x64 (oder x86) nicht im Pfad hinzu. Der mpcmdrun.exe Prozess fügt ihn automatisch hinzu.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.